Microsoftのセキュリティインテリジェンスチームが米国時間9月24日に明らかにしたところによると、「Windows Server」に存在する「Zerologon」脆弱性が実際に悪用されているという。
提供:Getty Images
同チームは一連のツイートの中で「Microsoftは、Netlogonプロトコルの実装に存在する特権昇格(EoP)の脆弱性『CVE-2020-1472』(Zerologon)を悪用している脅威アクターの活動を注視している。われわれは、詳細が公開されているこの脆弱性を悪用した攻撃が実際に行われていることを確認している」と記している。
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.
— Microsoft Security Intelligence (@MsftSecIntel) September 24, 2020
セキュリティ業界の専門家らによると、こうした攻撃は予想されていたという。
Zerologon脆弱性の詳細がオランダのセキュリティ企業Securaによって9月14日に公開されて以来、この脆弱性を悪用し、武器として使用できるようにしたさまざまなPoC(概念実証)コードがオンラインで自由にダウンロードできるかたちで公開されている。
このPoCエクスプロイトコードの第1号が公開されたのは、Securaの情報公開からわずか数時間後のことだったようだ。これは、スキルの低い脅威アクターでもZerologon脆弱性を簡単に悪用できるというSecuraの分析を裏付けたことになる。
Zerologon脆弱性については、最初に報じた記事で詳しく説明しているが、ひと言で述べるとこれは、ドメインコントローラーとして機能している「Windows Server」と「Windows」システムとの間での認証に用いられているNetlogonプロトコルの実装に存在している脆弱性だ。攻撃者はこの脆弱性を悪用してドメインコントローラーを乗っ取る、つまり実質的に組織の内部ネットワークを乗っ取ることができる。
Zerologonは2020年に明らかになった脆弱性のうちで最も危険なものの1つと考えられている。米国土安全保障省(DHS)は18日、連邦機関に対して、3日以内にドメインコントローラーに対するパッチを適用するか、さもなければ連邦機関のネットワークからドメインコントローラーを切り離すよう緊急指令を発出している。
DHSのサイバーセキュリティ・インフラセキュリティ庁(CISA)は21日のアラートで、ファイル共有ソフトウェアの「Samba」もZerologon脆弱性の影響を受けるため、アップデートが必要だと述べた。
Microsoftは同社が確認した攻撃に関する詳細を公表していないものの、それらの攻撃に使用されているファイルのハッシュ値を公開している。
Microsoftがこの攻撃についての情報を明らかにして以来、複数のセキュリティ専門家らは、インターネット経由でのドメインコントローラーへのアクセスを許している組織に対して、パッチを適用するまでシステムをオフラインにするべきだと勧告してきている。
攻撃者がこれらのサーバーにインターネット経由でアクセスできる場合、第一段階として組織内のシステムに足場を築く必要がなく、直接攻撃できるようになるため、特に危険といえる。
Heads up all Microsoft AD administrators! If you are crazy enough to run your servers with direct internet connectivity - you are in *grave* danger. Patch #Zerologon like..last month! https://t.co/sCC2hM0PAj
— Kauto Huopio (@kautoh) September 24, 2020
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。